تتعرض العديد من أقسام تكنولوجيا المعلومات لضغوط شديدة لتطوير وتنفيذ مجموعة من مبادرات التنقل. غالبًا ما تغطي هذه المبادرات مجموعة من تخصصات تكنولوجيا المعلومات. هناك جهد لتطوير التطبيقات الداخلية ، وتوفير الوصول إلى الأنظمة الجديدة والقديمة من أجهزة الجوال مثل iPhone و iPad ، والحاجة إلى إدارة ودعم أجهزة المستخدمين كجزء من برامج BYOD ، والحاجة إلى تطوير حلول تواجه العملاء مثل المواقع الموجهة للهاتف المحمول والمواقع الأصلية تطبيقات.
مع وجود العديد من الضغوط التي تضرب مؤسسات تكنولوجيا المعلومات في نفس الوقت ، يتم إجراء تنازلات بسبب ضيق المواعيد النهائية والميزانيات. وفقًا للخبير الأمني جيف ويليامز ، فإن هذا الدفع لإخراج الحلول في أسرع وقت ممكن قد يؤدي إلى حلول بها عيوب أمنية كبيرة.
في مقابلة مع GovInfoSecurity، يركز ويليامز المناقشة حول تطوير تطبيقات الأجهزة المحمولة. ترى العديد من المؤسسات مكاسب الإنتاجية المحتملة التي يمكن أن تقدمها لهم تطبيقات الأجهزة المحمولة. في إطار الاندفاع لإنتاج هذه التطبيقات ، لا يخضع الكثير منها لاختبارات الأمان الصارمة التي يحتاجون إليها.
بينما يمكن أن تساعد حلول إدارة الأجهزة المحمولة في تأمين الأجهزة ، يلاحظ ويليامز أن التطبيقات الداخلية للشركة يمكن أن تكون متجهات سهلة للهجوم في حالة فقد الجهاز أو اختراقه وقد توفر حلول إدارة الجهاز حماية قليلة في هذا الصدد حالات..
تحتوي معظم تطبيقات الأجهزة المحمولة على جانب خادم ومن ثم العديد من العملاء المختلفين ، ويمكن أن يكون العملاء هم HTML5 أو iPhone أو Android أو Blackberry أو أيًا كان. دعني أحاول رسم صورة لك. تخيل نوعًا من الفقاعة التي تمتد من مركز بيانات شركتك عبر مجموعة كاملة من الشبكات - ربما بعض شبكات Wi-Fi وعبر شبكات المسافات الطويلة وما إلى ذلك - وينتهي بها الأمر داخل هاتفك المحمول جهاز. عندما تقوم بتوسيع مؤسستك وبياناتك من خلال هذه الفقاعة ، فإن مهمتك الآن هي حماية الفقاعة.
فيما يلي بعض أنواع الطرق التي يتم فيها الانكشاف هناك. عندما يسرق المهاجم هاتفك أو يضع تطبيقًا ضارًا على جهازك ، عليك أن تسأل نفسك ما إذا كان بإمكانه الدخول إلى تلك الفقاعة بطريقة ما. تريد التأكد من حماية بياناتك عندما تكون على الجهاز ؛ تريد التأكد من حماية بياناتك عندما تكون قيد النقل بين مركز البيانات الخاص بك والجهاز ؛ وبعد ذلك عليك التأكد من أن تطبيقك نفسه مقوى. يجب أن يكون رمزًا قويًا.
يلاحظ ويليامز أيضًا أن بعض التحديات الأمنية ليست مشكلات جديدة حقًا.
لسوء الحظ ، نشهد العديد من نفس أنواع الأخطاء التي رأيناها في كود تطبيق الويب منذ عقد مضى. العديد من المنظمات مشغولة جدًا في المصارعة مع BYOD و MBM. وهم يحاولون أن يكونوا أول من يطرح منتجاتهم في السوق ، لذا فهم يتعاملون مع أي ضغوط تجارية... لإدخال تطبيقهم إلى التطبيق تخزين سريع حقًا وهم لا يمنحون التطوير الموارد التي يحتاجون إليها من أجل إنشاء رمز آمن لها التليفون المحمول.
لمعالجة مخاوف أمان التطبيقات ، يقدم Williams بعض النصائح المنطقية ، مثل تخزين بيانات الشركة على أنها صغيرة داخل iPhone أو تطبيق iPad على الجهاز قدر الإمكان وتشفير أي بيانات على الجهاز (الوظيفة التي توفرها Apple لتطويرها من خلال iOS المختلفة واجهات برمجة التطبيقات).
الآن بالنسبة لتطبيقاتك ، فإن أول شيء هو أنها يجب أن تقلل حقًا من البيانات الحساسة التي ستسمح بتخزينها على الهاتف. هذه هي البيانات التي ستسبب التعرض. أفضل ما يمكنك فعله هو عدم وضعه على الهاتف. ربما يمكنك الاحتفاظ بها في الذاكرة أو الاحتفاظ بها على السحابة ولكن لا تسمح بتخزينها على الهاتف. إذا كان عليك تخزين البيانات المشفرة ، فأعتقد أنه يجب على المؤسسات تزويد مطوريها بحاوية مشفرة - نوع من الحلول التي سوف نتأكد من أن جميع البيانات التي تهبط على الهاتف ينتهي بها الأمر مشفرة ، لذلك حتى في حالة فقد الهاتف أو سرقته أو اختراقه ، فإن هذه البيانات لا تزال محمي.
كما أنه يدافع عن قضية تقوية ومراقبة الخوادم الخلفية التي تقدم المحتوى والبيانات فعليًا إلى تطبيقات الأجهزة المحمولة الخاصة بشركة ما.
على الرغم من أن ويليامز لم يذكرها صراحةً في المقابلة ، إلا أنها تستحق القراءة فيها مجمل، من المهم أن تضع في اعتبارك أن تطبيقات iOS الداخلية لا تخضع لنفس النوع من عمليات الفحص والموافقة التي تنفذها Apple للتطبيقات التي يتم بيعها عبر متجر تطبيقات iOS. هذا يعني أنه إذا ارتكب المطورون أخطاء أو تركوا ثغرات أمنية في التعليمات البرمجية الخاصة بهم ولم يتم وضع التطبيقات من خلال عملية فحص أمني شاملة ، قد لا تدرك الشركة أن هناك خطرًا حتى يتم ذلك أيضًا متأخر.
مصدر: GovInfoSecurity